问题是奇怪的,至less对我来说。
我有一个Windows 2003专用服务器。 时不时(大约每三个月一次),思科交换机将这样的服务器断开连接:
%PORT_SECURITY-2-PSECURE_VIOLATION:由于端口FastEthernet0 / 33上的MAC地址2020.2020.3c64而导致发生安全违规。
ISP的支持试图说服我,我有一些恶意软件正在尝试MAC欺骗攻击,并且他们的政策是允许每个端口有3个MAC地址,并且在超出此地址限制时会发生这种情况。
我用三种不同的工具(包括微软的)扫描,我找不到任何东西。 我已经检查了网页访问日志时,发生这种情况,甚至没有脚本小子在寻找phpmyadmin。
难道是一些Windows组件正在做这个? 任何,我的意思是什么build议下一步将检查将不胜感激。
该消息表明交换机在端口上看到太多不同的以太网源地址。 机器尝试在每个物理接口上使用多个以太网地址有许多可能的合法原因。
您是否在服务器上运行任何虚拟机(VMware或类似的)? 这可能会导致合法的多个MAC。
你正在运行任何高可用性软件? 一些用于弹性的方法依赖于物理机一个MAC和一个浮在机器之间的服务IP的一个MAC(VRRP和HSRP是两个协议)。
你有没有确保你没有任何硬件或驱动程序的问题? 如半径所述,故障的驱动程序或硬件可能会导致此类行为。
您是否从“已知干净启动”扫描机器? 这可能是因为您的恶意软件感染非常聪明,可以隐藏您的扫描工具,但是从已知良好的主机(或干净启动,closures只读介质)检查磁盘可以规避以前使用的方法隐藏。
你使用什么样的网卡和使用什么驱动王? 我已经看到这种问题(但不是在Windows上),每个驱动程序的问题,以太网卡上的缓冲区已满,卡正在发送包含错误信息(包括源MAC地址)
尝试使用Microsoftnetworking监视器(它是免费的),并应用规则 – “不UDP.Adress =”。 你会看到谁发送格式不正确的帧。
尝试一个ipconfig /all你看到多less个networking接口?
你正在运行任何types的负载平衡/集群应用程序?
你的网卡有什么特别的吗? 多端口等?
你有没有尝试过你的网卡的驱动程序更新?
您的托pipe公司可以为您提供港口安全日志吗? 看看它试图使用的MAC地址可能会给你一个提示。 你可以在这里查找供应商ID。 (考虑到20-20-20没有注册给任何人,正在发生…)
如果可能,请在该服务器上运行协议分析器,如Wireshark
这应该至less给你一些洞察无关的MAC地址来自哪里。
如果真的是来自你的服务器,那么你可能要更深入。 这个MAC地址根本不是有效的,你可能有一个进程发送不应该的帧。
我也会validation你的提供者交换机的物理连接没有经过任何中间交换机,这可能会将帧注入错误的端口。
当发生这种情况时,ISP应该能够知道它看到的MAC地址。 他们还应该能够configuration端口,只允许您想要的MAC地址工作,丢弃任何其他MAC地址,而不是closures端口。
0x202020203c64是“> d”,是一种可疑的MAC地址。 损坏的网卡损坏缓冲区,损坏的驱动程序或损坏的内存。
在服务器上运行memtest86。
或者正如他们所说,恶意软件。